使用 OpenSearch 服務 OpenSearch 受管VPC端點存取 Amazon 服務 ()AWS PrivateLink - Amazon OpenSearch 服務
考量事項提供對網域的存取建立介面VPC端點使用 OpenSearch 服務API作業管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 OpenSearch 服務 OpenSearch 受管VPC端點存取 Amazon 服務 ()AWS PrivateLink

您可以透過設定 OpenSearch 服務 OpenSearch 管理的VPC端點 (提供支援 AWS PrivateLink) 來存取 Amazon 服務網域。這些端點會在您VPC和 Amazon OpenSearch 服務之間建立私有連線。您可以像存取您的 OpenSearch 服務網VPC域一樣存取服務網域VPC,而無需使用網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線。您中的執行個體VPC不需要公用 IP 位址即可存取 OpenSearch 服務。

您可以設定 OpenSearch Service 網域VPC,以公開在相同、不VPC同或不同的公用或私有子網路上執行的其他端點。 AWS 帳戶這讓您可以新增額外的安全性層,以存取您的網域 (無論網域在何處執行),而無需管理基礎架構。下圖說明相同VPC內容的 OpenSearch 服務管理VPC端點:

VPC diagram showing Amazon PrivateLink in public subnet connecting to OpenSearch Service in private subnet.

您可以透過建立由服 OpenSearch 務管理的介面VPC端點來建立此私人連線。 AWS PrivateLink我們會在您為介面端點啟用的每個子網路中建立VPC端點網路介面。這些是服務管理的網路介面,可做為「服務」流量的進入點。 OpenSearch 標準AWS PrivateLink 介面端點定價適用於以下 AWS PrivateLink計費的 OpenSearch 服務管理VPC端點。

您可以為執行所有版本 OpenSearch 和舊版 Elasticsearch 的網域建立VPC端點。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的透過 AWS PrivateLink存取 AWS 服務

OpenSearch 服務的考量和限制

在為 OpenSearch 服務設定介面VPC端點之前,請先檢閱AWS PrivateLink 指南中的考量事項

使用 OpenSearch 服務管理的VPC端點時,請考慮下列事項:

  • 您只能使用介面VPC端點連線至VPC網域。不支援公有網域。

  • VPC端點只能連線到相同的網域 AWS 區域。

  • HTTPS是VPC端點唯一支援的通訊協定。HTTP是不允許的。

  • OpenSearch Service 支援透過介面VPC端點撥打所有支援的 OpenSearch API作業

  • 每個帳戶最多可設定 50 個端點,每個網域最多可設定 10 個端點。單一網域最多可有 10 個授權的主體

  • 您目前無法用 AWS CloudFormation 來建立介面VPC端點。

  • 您只能透過 OpenSearch 服務主控台或使用服務建立介面VPC端點API。OpenSearch 您無法使用 Amazon VPC 主控台為 OpenSearch 服務建立介面VPC端點。

  • OpenSearch 服務管理的VPC端點無法從網際網路存取。VPC在路由表和安全群組允許的情況下, OpenSearch 服務管理VPC的端點只能在佈建端點的位VPC置或與佈建端點的任何VPCs對等端點內進行存取。

  • VPC OpenSearch 服務不支援端點策略。您可以將安全群組與端點網路介面相關聯,以控制透過介面VPC端點連至 OpenSearch 服務的流量。

  • 您的服務連結角色必須位於您用來建立VPC端點的同一 AWS 帳戶中。

  • 若要建立、更新和刪除 OpenSearch 服務VPC端點,除了 Amazon 服 OpenSearch 務EC2許可外,您還必須擁有以下 Amazon 許可:

    • ec2:CreateVpcEndpoint

    • ec2:DescribeVpcEndpoints

    • ec2:ModifyVpcEndpoint

    • ec2:DeleteVpcEndpoints

    • ec2:CreateTags

    • ec2:DescribeTags

    • ec2:DescribeSubnets

    • ec2:DescribeSecurityGroups

    • ec2:DescribeVpcs

注意

目前,您無法將VPC端點建立限制為「 OpenSearch 服務」。我們正在努力在 future 的更新中實現這一目標。

提供對網域的存取

如果您想要存取您的網域位於另一個網域中 AWS 帳戶,您必須先從擁有者的帳戶授權,才能建立介面VPC端點。VPC

允許其他網VPC域存 AWS 帳戶 取您的網域

  1. https://console.aws.amazon.com/aos/家裡打開 Amazon OpenSearch 服務控制台/

  2. 在導覽窗格中選擇 Domains (網域),然後開啟您要提供存取權的網域。

  3. 轉到VPC端點標籤,其中顯示可以訪問您的域VPCs的帳戶和對應的帳戶。

  4. 選擇 Authorize principal (授權主體)。

  5. 輸入將存取您網域的帳戶 AWS 帳戶 ID。此步驟會授權指定帳號針對網域建立VPC端點。

  6. 選擇 Authorize (授權)。

建立VPC網域的介面VPC端點

您可以使用 OpenSearch 服務主控台或 AWS Command Line Interface (AWS CLI) 建立 OpenSearch 服務的介面VPC端點。

若要建立 OpenSearch 服務網域的介面VPC端點

  1. https://console.aws.amazon.com/aos/家裡打開 Amazon OpenSearch 服務控制台/

  2. 在左側導覽窗格中,選擇「VPC端點」。

  3. 選擇建立端點

  4. 選取要連接目前網域 AWS 帳戶 或其他網域中的網域 AWS 帳戶。

  5. 選取您與此端點連線的網域。如果網域位於目前網域中 AWS 帳戶,請使用下拉式清單選擇網域。如果網域位於不同的帳戶中,請輸入要連接的網域的 Amazon 資源名稱 (ARN)。若要選擇不同帳戶中的網域,擁有者需為您提供對網域的存取權

  6. 對於 VPC,選VPC取您要存取 OpenSearch 服務的來源。

  7. 對於子網路,請選取一或多個您要從中存 OpenSearch 取服務的子網路。

  8. 對於 Security group (安全群組),選取要與端點網路介面建立關聯的安全群組。這是一個關鍵步驟,其中您需限制正授權進入端點之傳入流量的連接埠、通訊協定和來源。安全性群組規則必須允許將使用VPC端點與 OpenSearch Service 通訊的資源,以便與端點網路介面進行通訊。

  9. 選擇建立端點。端點應會在 2-5 分鐘內進入作用中狀態。

使用組態使用 OpenSearch 服務管理的VPC端點 API

使用下列API作業建立和管理 OpenSearch 服務管理VPC端點。

請使用下列API操作來管理端點對VPC網域的存取: